О дыре в 17 приказе ФСТЭК

О дыре в 17 приказе ФСТЭК

Регуляторы регулировали, регулировали, да не вырегулировали....

С того момента, как в сети появилась информация о том, что ФСТЭК разрабатывает новый документ на замену СТР-К, я не переставал надеяться, что мы, наконец-таки, получим руководящий документ, который станет фундаментом для всей деятельности по защите конфиденциальной информации. Я надеялся, что новый документ заменит РД 20 летней давности и уберет из лексикона ИБэшника такие термины, как наводка, программный останов, специсследования и т.д.
Но этого не произошло. Вместо широкопрофильного руководящего документа мы получили узкоспециализированный приказ, перекрывающий только малую часть информационных систем даже в государственных структурах.
name='more'>
Что такое ГИС?
Реестр федеральных ГИС ведется Минсвязью и доступен всем желающим . На сегодняшний момент в нём 320 информационных систем, что, в целом, не густо. Кроме того многие из указанных в реестре систем не подпадают под 17 приказ, т.к. не содержат информации ограниченного доступа.
Каждый субъект РФ так же разрабатывает собственный перечень ГИС (МИС), и тут ситуация еще интересней.
В этом реестре множество бухгалтерских и кадровых ГИС

Если указанные системы все-таки считать ГИС - то нужно ли защищать другие подобные информационные системы, отсутствующие в реестре (а таких большинство), по новому приказу? Или стоит ожидать, что в ближайшее время подобные системы будут срочно исключены из реестра чтобы не подпасть под более жёсткий 17 приказ?

Нужно так же помнить, что к ГИС приравнены так же и муниципальные информационные системы (МИС). В соответствие с 149-фз, муниципальными информационными системами являются информационные системы, созданные на основании решения органа местного самоуправления. Очень часто даже если такое решение принималось, то это не было оформлено документально, а значит считать такие системы муниципальными ИС не обязательно.

Поэтому точно сказать подпадает или нет информационная система под 17 приказ можно только в отношении ГИС, указанных в реестре Минсвязи. В остальных случаях следует руководствоваться 21 приказом, либо СТР-К и требованиями по защите информации из РД "Классификация АС..." 1992 года!

К  тому же если вы защищаете служебную тайну, либо аттестация необходима вам чтобы получить лицензию ФСТЭК или ФСБ, вам по-прежнему необходим аттестат по классу защищенности АС 1Г :(

К сожалению новый документ ФСТЭК не принес порядок в общую структуру документов по защите информации, а лишь добавил очередную "альтернативную" ветку ЗИ, чем еще больше раздул "бумажную безопасность" (студенты по ИБ должны учить требования по защите информации, разработанные до их рождения!).

В финальной версии 17 приказа так же был сокращён перечень организационно-распорядительной документации по сравнению с проектом приказа. Т.к. я считал его полезным (и вообще просил ФСТЭК прикладывать к своим приказам шаблоны документов), то приведу его здесь:

17.2. Разрабатываемые организационно-распорядительные документы по защите информации должны определять:
  • правила и процедуры идентификации и аутентификации субъектов доступа и объектов доступа, в том числе предусматривающие управление учетными записями пользователей, установление полномочий пользователей, правила генерации, смены и восстановления паролей пользователей;
  • правила и процедуры управления доступом субъектов доступа к объектам доступа, в том числе устанавливающие перечень лиц, имеющих доступ к объектам доступа информационной системы, и их права (привилегии) доступа к этим объектам;
  • правила и процедуры защиты машинных носителей информации, в том числе устанавливающие порядок вывода информации на внешние носители информации, учета, хранения и использования съемных машинных носителей информации, процедуры архивирования информации, порядок стирания (уничтожения) данных и остаточной информации с машинных носителей информации и (или) уничтожения машинных носителей информации;
  • правила и процедуры регистрации событий безопасности, в том числе предусматривающие порядок контроля за действиями пользователей (администраторов) в информационной системе;
  • правила и процедуры обеспечения целостности информационной системы и информации, в том числе предусматривающие контроль целостности системы защиты информации информационной системы, порядок периодического анализа уязвимостей информационной системы и принятия первоочередных мер по устранению вновь выявленных уязвимостей, восстановления работоспособности и настроек системы защиты информации информационной системы в случае нарушения функционирования информационной системы;
  • правила и процедуры защиты технических средств, в том числе определяющие перечень лиц, имеющих доступ в помещения, в которых расположены технические средства, и порядок их доступа в помещения и к техническим средствам;
  • правила и процедуры защиты информационной системы, ее средств и систем связи и передачи данных, в том числе определяющие порядок использования периферийных устройств, которые могут активироваться удаленно, технологий мобильного кода, технологий передачи речи и видеоинформации, порядок защиты внутренних и внешних беспроводных соединений, порядок использования и защиты мобильных устройств;
  • правила и процедуры управления конфигурацией, в том числе определяющие порядок обновления программного обеспечения, управления параметрами настройки средств защиты информации, составом и конфигурацией технических средств обработки информации и программного обеспечения, контроля за несанкционированными подключениями технических средств обработки информации и установкой программного обеспечения;
  • правила и процедуры анализа угроз безопасности информации и принятия дополнительных мер защиты информации от вновь возникших угроз безопасности информации, выявления и устранения недостатков в системе защиты информации информационной системы, внесения изменений в документацию на систему защиты информации информационной системы;
  • правила и процедуры выявления реагирования на инциденты, связанные с защитой информации;
  • правила и процедуры обслуживания системы защиты информации информационной системы;
  • порядок обучения и информирования пользователей о правилах эксплуатации системы защиты информации информационной системы и средств защиты информации, а также информирования об угрозах безопасности информации.



Alt text

Артем Агеев

root@itsec.pro:~#